美国政府网络安全、隐私和信任资助生态系统全景

快——告诉我互联网安全中心（CIS）的资金从何而来。

不好回答？！

那 FS-ISAC 呢？

FIDO 联盟呢？

Let"s Encrypt呢？

也许你了解其中一些。但像我这样的普通人来说，这些问题还是挺难的。

MITRE和NVD的整个资金状况让我意识到，我对联邦资助组织之间依赖关系的理解还不够。

如果你在网络安全领域工作了一段时间，你的知识可能和我在为这篇文章做研究之前差不多。我知道大多数知名组织，使用过他们的许多框架和工具，并且大致怀疑纳税人的资金提供了部分或全部资金。

我之前不知道但事实证明很重要的是：钱来自谁，来自哪里。

这正是美国现任政府在追求政府效率过程中面临的挑战。

在我职业生涯的前 20 年，我认为这类政府支持的网络安全措施就是有效的。

我有个消息要告诉你：它并不是“自动运行”的。背后有大量的努力、协调和资金支持才能让一切顺利进行。

我们所熟知和喜爱的许多机构和资源都依赖于层层复杂的政府命令、立法、行政命令，以及（重要的）联邦资金支持。

看到 NVD 发生的事情后，确实看起来这些东西可能随时在没有太多预警的情况下消失。

我想要有自己的观点。谦逊地讲，我意识到要形成自己的观点，第一步是更好地理解这一切。

这篇文章实际上是我过去一周左右为了解联邦资助的网络安全、隐私和信任生态系统的结构和复杂性所做工作的（润色后）成果。²

诚然，我们正在从纯粹的网络安全领域跨越到更广泛的隐私、信任与安全、工业控制系统/物联网、人工智能安全以及国家安全等话题。我仍然认为在这个背景下提及所有这些内容很重要，以试图描绘出对主流网络安全行业人员来说相关的全貌。

这显然是一个以美国为中心的视角。仅这一点就已经是这项研究的一个巨大挑战。我相信其他国家也有类似的情况，尽管这项研究现在让我怀疑这种复杂性是否是美国独有的。

让我先告诉你为什么我一开始会关心这个话题。

我是联邦资助研究的产物

我的第一个真正的安全工作是在大学的公共政策研究部门。他们的一些资助来自州政府，一些来自联邦政府。

这不是一个大型部门，尤其是与我们将在本文中讨论的一些组织的规模相比。我们在任何一个学年都有七位数或低八位数的研究资金。

在我大学四年级时，我是一个价值 1650 万美元的联邦项目的研究团队成员，该项目旨在探索美国的道路使用税。该项目是对数千名实地研究参与者在税收和用户隐私方面的一次大规模实验。

这个项目与我们将在本文中讨论的特定于网络安全的项目有些不同。我仍然认为它很有意义，因为它让我初步了解了联邦资助的研究是如何运作的。

从那时起，我根据 NIST 标准评估公司，基于 PCAOB 标准进行审计，实施了密码钥匙，并且（就在本月！）在一个咨询客户的产品战略项目中使用了 MITRE ATT&CK 和 D3FEND。

我经常使用联邦资助研究的成果，有时甚至是在不自觉的情况下。

我对国家漏洞数据库（NVD）相关情况的最初反应是：“哦，糟了！可能会有更多这类东西消失。”

一旦你有了这个认识，许多重要的问题就开始出现：

MITRE 首先是一个什么类型的组织？

它的钱从哪里来？

还有哪些组织类似 MITRE？

联邦政府首先资助了哪些机构和研究？

诸如此类。

我有部分了解，但绝对不足以知道如果一些或所有联邦支持的机构和研究开始消失，会带来什么后果。

这种情况的战略部分与您是否在政治上同意或不同意政府效率关系不大。表达观点是可以的，但这还不够。明智的做法是为最坏的情况做好准备。

第一步是了解所谓的爆炸半径。这意味着要绘制出整个联邦资助的网络安全、隐私和信任生态系统的全貌。

剧透警告：这个生态系统比我想象的要复杂得多。

联邦资助生态系统的高层次视图

在我们深入了解各个实体类型、示例及其功能之前，我认为一次性看到全部内容会更有帮助。我先给你结论，然后我们再深入探讨。

这是美国联邦政府中网络安全、隐私和信任的权力、权威和资金流动的自上而下视图：

是的，我知道。在把所有内容放到一个视图中之前，我并没有意识到这里发生了这么多事情。

重要的结论是，资金和权力都有涓滴效应。

适当的部门是“母”组织。它们只有 15 个。部门拥有政策制定、预算和执行监督权。它们接收资金并将其分配给下游实体执行。

联邦机构是执行特定任务或职能的操作部门。它们可以是某个部门的一部分，也可以独立运作。这通常是实际工作发生的地方，或者至少是工作被动员的地方。

事情从那里开始变得复杂得多。机构会向其他几种不同类型的实体提供资金。有时资金是单一来源的，有时是竞争性的。有时是另一个正式的政府实体，有时则不是。

依赖关系和细微差别不断出现。

这就是争议开始出现的地方。问题在于联邦政府是否以及在多大程度上有权使用和分配资金。由此引申出关于联邦政府使命范围的问题。

当前政府在政府支出立场上的核心论点是质疑联邦政府是否有权通过行政权力而非纯立法来资助活动。

这个问题的答案会极大地改变局势。

为什么？

数十年来，大量的行政权力被用来促成这一切。

行政权力赋予的，行政权力也可以收回。

联邦资助实体的全解析

这是我们深入探讨的部分。这是一个深邃、黑暗且充满危险的洞穴。你仍然应该阅读，但请注意风险。

我们需要从顶部开始，详细介绍联邦政府部门和机构，然后逐步了解其他类型的联邦资助实体。

联邦政府部门

正如我们之前所说，联邦政府部门接收资金并将其分发给下游实体执行。令人惊讶的是：它们中的大多数都参与资助网络安全、隐私和信任机构及研究。

美国联邦政府只有 15 个部门。其中 11 个部门控制或分配大量资金，用于各种网络安全、隐私和信任活动：

仿佛 11 个 还不够，另外两个密切相关的实体也值得一提：

总统执行办公室（EOP）：通过 OMB、ONCD（网络主管）和 OSTP 控制主要资金和政策决策。

财政部/国税局（IRS）：为身份验证和反欺诈的信任基础设施提供资金。

唯一不直接提供资金的四个部门是内政部（DOI）、农业部（USDA）、住房和城市发展部（HUD）以及劳工部（DOL）。

既然我们知道了谁发放资金，现在让我们开始讨论谁来完成工作。

联邦政府机构

机构推动一切运转，无论它们是隶属于某个部门还是独立运作。这些机构是真正执行的地方。

它们有很多：

此列表包括一些你听说过的名字（CISA、NIST、NSA 等），以及一些你没听说过的名字。

我们联邦政府机构的产出非常庞大。它们是我们将在本文其余部分讨论的大部分活动的推动力。最重要的是，它们掌控着资金和权力。

联邦资助研发中心（FFRDCs）的运营方

从技术上讲，MITRE 是一家 501(c)(3)非营利组织。这是一种慈善非营利组织，是美国最常见的非营利组织类型。

相似之处仅止于此。

MITRE 是多个联邦资助研究与开发中心（FFRDC）的运营者和管理者，服务于多个政府赞助方。它的存在完全是为了服务联邦政府。它被禁止与商业公司竞争或进行游说。

可以把 MITRE 想象成一个总承包商，专门获得政府授权管理某些联邦研究中心，而这些研究中心本身就是 FFRDC。

看起来很罕见？确实如此。

像 MITRE 这样的组织非常少。只有少数非营利组织存在以运营 FFRDC。以下是同一类别中其他与网络安全相关的非营利组织：

FFRDC 运营的产出很难理解，主要是因为它们与它们所运营的实际 FFRDC 紧密相关。它们的角色就是，嗯——运营 FFRDC，而实际的产出正是来自于此。

联邦资助研发中心（FFRDC）

好的，我们知道是谁运营 FFRDC 很酷——但 FFRDC 到底是什么？

它们是与联邦政府有长期合作关系的私营部门实体，专门满足特殊的研发需求。FFRDC 数量不多——目前只有 42 个活跃的，1969 年达到过 74 个的历史最高点。

FFRDCs 在技术上独立于联邦政府及其赞助组织运作。然而，它们深度嵌入并完全依赖资金支持，因此它们实际的自主性是有争议的。

这本质上是一种与政府的受控关系，因为 FFRDCs 依赖联邦资金运作，且不允许在外部竞争或推广产品和服务。

这听起来可能有些棘手，但实际上是个相当不错的交易，因为它们的大多数项目和资金都是政府单一来源提供，无需竞争性招标。

理论上，FFRDCs 执行政府或商业组织无法完成的专门研发工作。当前政府质疑的假设之一是：“你确定这不能由私营公司完成吗？”

目前，与网络安全、隐私和信任密切相关的 FFRDCs 有：

他们产出很多——多到这里无法一一列举。你可能听说过的一些例子包括 NIST 特别出版物、CERT 协调中心（CERT/CC）、MITRE ATT@CK 和 D3FEND，以及（正如我们现在所知）管理 NVD。

大学附属研究中心（UARCs）

UARC 与 FFRDC 有一些相似之处，但它们是国防部风格的研究中心。不出所料，它们专注于国家安全和国防，有时也涉及网络安全。

像 FFRDC 一样，它们有长期合同和重点领域，但它们特别与大学相关联。与 FFRDC 不同的是，它们可以竞标其他机构的项目和资助。

总共有不到 20 个 UARC。与网络安全相关的有：

UARC 的产出很重要，但不易察觉。宾夕法尼亚州立大学的应用研究实验室曾为海军开发了一些关于安全水下通信的重型基础设施。其他 UARC 可能进行专门研究，这些研究被纳入 NIST 或其他网络安全标准。

联邦支持的非营利组织

联邦支持的非营利组织是更传统的组织（通常是 501(c)(3)慈善机构或研究所），与政府合作。尽管它们与像 MITRE 这样的 FFRDC 运营商属于同一类型的非营利实体，但这些非营利组织并不直接运营 FFRDC。

它们在执行网络安全、隐私或数字信任任务时，严重依赖联邦支持（拨款、合作协议或指定角色）。它们是拥有自身治理结构的非政府组织，并不隶属于某个特定机构。

它们的工作更多是基于项目且非经常性的，这意味着它们必须清楚地展示价值，并不断寻求续约或新的拨款。

有许多联邦支持的非营利组织，包括几个知名的。以下是一些亮点：

许多联邦支持的非营利组织的成果都非常显著。其中最著名的是 CIS 的关键安全控制。国家网络安全联盟还代表联邦贸易委员会（FTC）开展隐私意识和消费者教育工作。

公私合作

这就是我们开始远离正式政府结构的地方。这也是私营部门开始介入的地方。

公私合作正如其名——政府与私营部门之间的合作伙伴关系，共同开展网络安全、隐私和信任的联合倡议。

这是一个共享治理模式，双方都投入时间和资金。参与是自愿的。这里没有被束缚的关系，至少不是直接的。

实际上，这意味着诸如信息共享、咨询委员会、工作组、联合开发框架、协调事件响应以及研发共同投资等事项。举几个例子：

NIST 网络安全框架（CSF）可能是公私合作中最广泛使用和最知名的成果。联邦政府承担了大部分费用，私营部门则贡献了时间和专业知识。

表中提到的 DHS/CISA 网络安全咨询委员会和网络安全审查委员会（CSRB）是另外两个著名的例子。它们于 2025 年 1 月被迅速解散。

似乎合理地预期，任何由乔·拜登的行政命令创建的机构都将被终止。我们已经有两个例子了。可能还会有更多。

信息共享与分析中心（ISACs）和信息共享与分析组织（ISAOs）

ISAC 和 ISAO 是用于信息共享和分析的特殊目的协作组织。ISAC 是针对特定行业/部门的，而 ISAO 则更为通用。比尔·克林顿在 1998 年批准启动了这些组织，它们至今仍在稳步运行。

大多数仍然是非营利实体，但由会员公司资助。政府只是支持它们，提供一些协调，并提供警告和情报（例如 FBI 发现的新恶意软件活动）。它们并不进行大量研究，只是共享相关信息。

金融服务 ISAC（FS-ISAC）是我听说最多的，还有其他几个：

ISACs 和 ISAOs 的主要输出是信息共享，但它们也会生成一些针对性的报告，供监管机构和政策制定者参考。

从现任政府的角度来看，这是理想的模型（或至少是可接受的模型）。如果需要，这似乎也是一个可以在没有政府介入的情况下实现的模型。

研究非营利资助者和独立研发组织

...俗称为智库、独立实验室、开源项目和大学中心。这些实体独立存在，但会定期获得联邦政府的基于项目的资金支持。

它们的使命和目标各不相同。范围涵盖从深度技术研究到政策研究以及社区研究建设。

符合此类别的几个组织是知名的，特别是开源项目和技术标准组织：

我在大学时参与的 DOT 研究（文章开头提到的）大致属于这一类。它主要是一项道路使用税收的研究，但研究内容涉及对所提方法所带来的隐私影响的分析。在这种情况下，输出结果是政策建议。

你肯定听说过 FIDO 联盟，或者至少听说过他们帮助实现的成果：密码钥匙。Let"s Encrypt 是另一个受益者，基本上将 TLS 带给了大众。

国家科学院委员会和董事会

国家科学、工程与医学院（MASEM）汇集了他们自己的独立专家委员会，代表国会或联邦机构研究特定问题。

它们可以作为针对特定研究的临时小组存在，也可以作为围绕特定主题的常设董事会/论坛。成员是来自学术界、工业界和前政府官员的独立专家。他们的角色纯粹是咨询性质的。

一些与网络安全相关的委员会示例包括：

他们的主要成果是研究和报告。严谨、客观和共识是这里的关键。他们撰写了各种主题的文章，包括：加密技术、网络犯罪分类与测量、网络韧性等。

新兴的联邦资助计划

在人工智能安全、身份认证、量子安全等领域有很多动态，这些内容并不完全符合我们之前讨论的分类。因此，我们暂且将其统称为“新兴的联邦资助计划”，直到它们找到归属或被取消。

这个类别有些模糊，但这里有几个例子：

这里的输出各不相同，但通常与上述其他实体类型类似：为联邦政府和公众提供研究、报告和建议。

哪些不是联邦资助的

解读联邦资助组织的清单可能让你想知道还有什么其他组织存在，以及它们是否受到影响。如果你已经考虑到这些，那你做得很好。这完全合理。

好消息是，我们行业内外的许多重要组织都是私人资助的。

显然，公共和私营的网络安全公司既不属于政府，也不由政府资助。不过，我们许多上市公司拥有相对较大的联邦业务。自选举以来，这一直是财报中的一个关注点，但这与我们这里讨论的话题不同。

一个更全面的非联邦资助组织名单可能本身就是一篇社交媒体帖子或文章。我想列举一些重点，以便将几个大名从潜在削减名单中剔除：

其中一些可能显而易见，有些则不然。这些组织的产出差异很大，但它们共有的一点是几乎不依赖或完全不依赖联邦资金。

不管喜不喜欢，这可能就是未来的发展模式。了解哪些组织已经实现自我支持，是证明这可以做到的一个不错的起点。

这一切都不会消失，但其中任何一部分都可能发生

NVD 不是一个孤立事件。近乎失误和实际的削减将会持续发生。

记住——NVD 的情况甚至还没有解决。他们只是把问题推迟了 11 个月。

信息传达得非常明确：“你们有 11 个月的时间来解决这个问题，否则我们将永久停止资金支持。”

NVD 是一个警钟，但我不认为天要塌下来。DOGE 不会把这篇文章当作砍掉项目的清单。

有些部分确实至关重要，尤其是当它们直接支持国家安全时。

许多旗舰项目是多年拨款并具有预先采购权限的项目。它们更难取消，但正如我们所见，任何事情都有可能发生。

我们联邦资助的网络安全机构、研究和项目不会全部被削减。

不过，其中一些肯定会。

“削减”也是一个相对的术语。削减的影响取决于具体情况。

已经完成的一次性工作仍然可用。我们只是不会再有更多了。如果 MITRE ATT@CK 和 D3FEND 最终被削减，这些框架仍然存在——但继续工作就靠我们自己了。

正在进行的事情将会停止运作，直到有人接手维护它们。当 NVD 的资金被削减时，联邦政府不会突然删除数据库。他们只是会停止支付更新费用。

有些事情看起来似乎可以独立运作。ISACs 就是一个很好的例子。其他大多数自筹资金和自我组织的事情也是如此。

有些事情会消失。已经被削减的 DHS/CISA 网络安全咨询委员会和网络安全审查委员会（CSRB）已经不存在了。当然，它们随时可以重新召集——但在此期间，什么都没有发生。

真正的挑战将是随机性。就像关税一样，我们不会知道发生了什么或何时发生。我们只会突然收到像 MITRE 在其 CVE 资金即将结束前一天莫名其妙发布的公告。

表现得好像某件事明天就会消失是多疑的，但如果这是关键任务，从明天开始制定备选方案是个好主意。

这种情况也是一个机会。许多联邦资助的项目确实有效，但效果并不理想。我对存在这么多“某某中心”和“某某研究所”感到惊讶。

安全社区对当前 NVD 的状态也没有压倒性的共识。有人指出公告的时机值得怀疑，以及该项目本身存在系统性问题。现有系统能用，但还有改进空间。

无论好坏，我们将经历一年多的动荡。或者四年，甚至更久。神圣的“不可触碰”将被牺牲。短期内将会有很多痛苦。

我仍然希望我们能从中取得一些好成果。

我们政府支持的网络安全机构可能确实有更高效的运作方式。它很可能承担了一些政府本不需要负责的事情。

要求私营部门承担政府多年来运营和/或资助的工作，确实是很大的负担。如此迅速地拆除几十年的工作伴随着巨大的风险。

有一点我深信不疑：美国人的足智多谋与坚韧不拔（着实令人惊叹）永不磨灭。

编辑：嗯。。。不代表喵站观点

原文链接：

https://strategyofsecurity.com/p/mapping-the-u-s-federal-government-ecosystem-for-cybersecurity-privacy-and-trust

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。